Советы по безопасности
Советы по безопасности Майкрософт 2718704
Несанкционированные цифровые сертификаты могут разрешать спуфингов
Опубликовано: 03 июня 2012 г. | Обновлено: 13 июня 2012 г.
Версия: 1.1
Общие сведения
Краткий обзор
Корпорация Майкрософт знает о активных атаках с использованием несанкционированных цифровых сертификатов, производных от центра сертификации Майкрософт. Несанкционированный сертификат может использоваться для подпуфинирования содержимого, фишинговых атак или атак с использованием злоумышленника в середине. Эта проблема влияет на все поддерживаемые выпуски Microsoft Windows.
Корпорация Майкрософт предоставляет обновление для всех поддерживаемых выпусков Microsoft Windows. Обновление отменяет доверие следующих промежуточных сертификатов ЦС:
- Microsoft Enforced Licensing Intermediate PCA (2 сертификата)
- Центр сертификации принудительного лицензирования Майкрософт (SHA1)
Рекомендация. Для поддерживаемых выпусков Microsoft Windows корпорация Майкрософт рекомендует клиентам немедленно применять обновление с помощью программного обеспечения управления обновлениями или проверка для обновлений с помощью службы центра обновления Майкрософт. Дополнительные сведения см. в разделе "Предлагаемые действия " этого рекомендации.
Сведения о рекомендациях
Ссылки на проблемы
Дополнительные сведения об этой проблеме см. в следующих ссылках:
| Ссылки | Идентификация |
|---|---|
| Статья базы знаний Майкрософт | 2718704 |
Затронутые программы и устройства
В этом руководстве рассматривается следующее затронутого программного обеспечения и устройств.
| Затронутого программного обеспечения |
|---|
| Операционная система |
| Windows XP с пакетом обновления 3 (SP3) |
| Windows XP Professional x64 Edition с пакетом обновления 2 |
| Windows Server 2003 с пакетом обновления 2 |
| Windows Server 2003 x64 Edition с пакетом обновления 2 |
| Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium |
| Windows Vista с пакетом обновления 2 (SP2) |
| Windows Vista x64 Edition с пакетом обновления 2 |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) |
| Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) |
| Windows 7 для 32-разрядных систем |
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) |
| Windows 7 для систем на основе x64 |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 для x64 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 for Itanium-based Systems |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) |
| Вариант установки основных серверных компонентов |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов) |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов) |
| Windows Server 2008 R2 для систем на основе x64 (установка основных серверных компонентов) |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) |
| Не затронутые устройства |
|---|
| Windows Mobile 6.x |
| Windows Телефон 7 |
| Windows Телефон 7.5 |
Вопросы и ответы
Почему эта рекомендация была изменена 13 июня 2012 г.?
Корпорация Майкрософт пересмотрела это рекомендацию, чтобы уведомить клиентов о том, что после дальнейшего исследования корпорация Майкрософт определила, что устройства Windows Mobile 6.x, Windows Телефон 7 и Windows Телефон 7.5 не затрагиваются этой проблемой.
Что такое область рекомендаций?
Эта рекомендация предназначена для уведомления клиентов о том, что корпорация Майкрософт подтвердила, что два несанкционированных сертификата были выданы корпорацией Майкрософт и используются в активных атаках. Во время нашего исследования было обнаружено, что третий центр сертификации выпустил сертификаты с слабыми шифрами.
Корпорация Майкрософт выпустила обновление для всех поддерживаемых выпусков Microsoft Windows, которые рассматривают проблему.
Адресует ли это обновление любые другие несанкционированные цифровые сертификаты?
Да, помимо обращения к трем несанкционированным сертификатам, описанным в этом совете, это обновление является накопительным и устраняет несанкционированные цифровые сертификаты, описанные в предыдущих рекомендациях: Рекомендации по безопасности Майкрософт 2524375, советы по безопасности Майкрософт 2607712 и советы по безопасности Майкрософт 2641690.
Влияет ли предварительная версия потребителей Windows 8 на проблему, связанную с этим рекомендацией?
Да. Обновление доступно для выпуска Windows 8 Consumer Preview. Клиентам с Windows 8 Consumer Preview рекомендуется применять обновления к своим системам. Обновления доступны только в Обновл. Windows.
Влияет ли предварительная версия выпуска Windows 8 на проблему, связанную с этим рекомендацией?
Да. Обновление доступно для предварительного выпуска Windows 8. Клиентам с предварительной версией Windows 8 рекомендуется применять обновления к своим системам. Обновления доступны только в Обновл. Windows.
Что такое криптография?
Криптография — это наука о защите информации путем преобразования ее между нормальным, читаемым состоянием (называемым открытым текстом) и тем, в котором данные скрыты (известный как шифр).
Во всех формах криптографии значение, известное как ключ, используется в сочетании с процедурой, называемой алгоритмом шифрования для преобразования данных обычного текста в зашифрованный текст. В наиболее знакомом типе криптографии криптография секрета с ключом шифр преобразуется обратно в открытый текст с помощью того же ключа. Однако во втором типе криптографии с открытым ключом используется другой ключ для преобразования зашифрованного текста обратно в открытый текст.
Что такое цифровой сертификат?
В криптографии с открытым ключом один из ключей, известный как закрытый ключ, должен храниться в секрете. Другой ключ, известный как открытый ключ, предназначен для совместного использования с миром. Тем не менее, должен быть способ для владельца ключа, чтобы сказать миру, кому принадлежит ключ. Цифровые сертификаты предоставляют способ сделать это. Цифровой сертификат — это фрагмент данных, который упаковает открытый ключ вместе с информацией о нем - кто владеет им, что можно использовать, когда срок действия истекает, и т. д.
Для чего используются сертификаты?
Сертификаты используются в основном для проверки удостоверения человека или устройства, проверки подлинности службы или шифрования файлов. Как правило, вам не придется думать о сертификатах вообще. Однако может появиться сообщение о том, что срок действия сертификата истек или недопустим. В этих случаях следует следовать инструкциям в сообщении.
Что такое центр сертификации (ЦС)?
Центры сертификации — это организации, которые выдают сертификаты. Они устанавливают и проверяют подлинность открытых ключей, принадлежащих людям или другим центрам сертификации, и проверяют удостоверение человека или организации, запрашивающего сертификат.
Что такое список доверия сертификатов (CTL)?
Доверие должно существовать между получателем подписанного сообщения и подписывателем сообщения. Одним из способов установления доверия является сертификат, электронный документ, проверяющий, что сущности или лица, которые они утверждают. Сертификат выдан сущности стороной, доверенной обеими сторонами. Таким образом, каждый получатель подписанного сообщения решает, является ли издатель сертификата подписи надежным. CryptoAPI реализовал методологию, которая позволяет разработчикам приложений создавать приложения, которые автоматически проверяют сертификаты в предопределенном списке доверенных сертификатов или корней. Этот список доверенных сущностей (называемых субъектами) называется списком доверия сертификатов (CTL). Дополнительные сведения см. в статье MSDN по проверке доверия сертификатов.
Что вызвало проблему?
Корпорация Майкрософт знает о активных атаках с использованием несанкционированных цифровых сертификатов, производных от центра сертификации Майкрософт. Несанкционированный сертификат может использоваться для подпуфинирования содержимого, фишинговых атак или атак с помощью злоумышленника в середине. Эта проблема влияет на все поддерживаемые выпуски Microsoft Windows.
Что может сделать злоумышленник?
Злоумышленник может использовать эти сертификаты для спуфинго содержимого, фишинговых атак или атак с помощью злоумышленника в середине.
Что такое атака "человек в середине"?
Атака "человек в середине" возникает, когда злоумышленник перенаправляет связь между двумя пользователями с помощью компьютера злоумышленника без знания двух пользователей, взаимодействующих с ними. Каждый пользователь в обмене данными неузнавательно отправляет трафик и получает трафик от злоумышленника, все думая, что они взаимодействуют только с предполагаемым пользователем.
Что делает корпорация Майкрософт для решения этой проблемы?
Мы обновили хранилище ненадежных сертификатов, чтобы удалить доверие в затронутых центрах сертификации Майкрософт.
После применения обновления можно проверить сертификаты в Хранилище сертификатов Майкрософт, ненадежных?
Сведения о просмотре сертификатов см. в статье MSDN: Просмотр сертификатов с помощью оснастки MMC.
В оснастке MMC сертификатов убедитесь, что в папку "Ненадежные сертификаты" добавлены следующие сертификаты:
| Сертификат | Issued by | Отпечаток |
|---|---|---|
| Microsoft Enforced Licensing Intermediate PCA | Microsoft Root Authority | 2a 83 e9 02 05 91 a5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
| Microsoft Enforced Licensing Intermediate PCA | Microsoft Root Authority | 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
| Центр сертификации принудительного лицензирования Майкрософт (SHA1) | Центр корневой сертификации Microsoft | fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
Предлагаемые действия
Поддерживаемые выпуски Microsoft Windows
Большинство клиентов включили автоматическое обновление и не потребует никаких действий, так как КБ 2718704 обновление будет скачано и установлено автоматически. Клиенты, которые не включили автоматическое обновление, должны проверка для обновлений и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.
Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить обновление КБ 2718704 вручную, корпорация Майкрософт рекомендует клиентам немедленно применять обновление с помощью программного обеспечения управления обновлениями или проверка для обновлений с помощью службы Обновления Майкрософт. Дополнительные сведения о том, как вручную применить обновление, см. в статье базы знаний Майкрософт 2718704.
Дополнительные предлагаемые действия
Защита компьютера
Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Клиенты могут узнать больше об этих шагах, перейдя на страницу "Защита компьютера".
Дополнительные сведения о безопасности в Интернете см . в Центре безопасности Майкрософт.
Обновление программного обеспечения Майкрософт
Пользователи, работающие под управлением программного обеспечения Майкрософт, должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно скорее. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Центр обновления Майкрософт, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если вы включили автоматическое обновление и настроили для предоставления обновлений для продуктов Майкрософт, обновления доставляются вам при их выпуске, но убедитесь, что они установлены.
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).
Feedback
- Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения о доступных вариантах поддержки см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения о том, как связаться с корпорацией Майкрософт по вопросам международной поддержки, см. в статье "Международная поддержка".
- Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Заявление об отказе
Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (3 июня 2012 г.): рекомендации, опубликованные.
- Версия 1.1 (13 июня 2012 г.): рекомендации по уведомлению клиентов о том, что устройства Windows Mobile 6.x, Windows Телефон 7 и Windows Телефон 7.5 не влияют на проблему.
Построено в 2014-04-18T13:49:36Z-07:00